RC4 攻撃: RC4 暗号化アルゴリズムは SSL/TLS を保護できますか?

RC4 暗号化アルゴリズムで最近発見された問題について説明していただけますか? HTTPS 接続のセキュリティ リスクは何ですか? 企業はどのようにしてこの脆弱性の影響を受けないようにできますか?

Michael Cobb: RC4 (Rivest Cipher 4) は、1987 年に RSA Security の Ron Rivest によって設計されました。この暗号化アルゴリズムは、その速度とシンプルさから、最も広く使用されているストリーム暗号になりました。これは、ワイヤレス ネットワークのセキュリティ アルゴリズムである Wired Equivalent Privacy (WEP)、HTTPS の Secure Sockets Layer (SSL) および Transport Layer Security (TLS) プロトコルなどの一般的なプロトコルで使用されます。実際、現在、すべての TLS トラフィックの約 50% が RC4 アルゴリズムを使用して保護されています。しかし、長年にわたり、アルゴリズムに脆弱性が発見され、RC4 の寿命が終わりに近づいていることが示唆されています。

イリノイ大学の教授であるダン・バーンスタイン氏は最近、RC4 を使用して暗号化された TLS 接続から攻撃者が限られた量のプレーンテキスト コンテンツを復元できる RC4 の脆弱性を公開しました。この RC4 攻撃は、この暗号をサポートするすべてのバージョンの SSL および TLS で機能します。 RC4 に対するこの攻撃は、暗号化によって生成されたキーストリームに統計的な欠陥があり、暗号化された情報の一部が漏洩し、攻撃者に分析するのに十分なサンプルを提供することで可能になります。

この脆弱性は、現時点では実行される可能性が低いマルチセッション攻撃であるため、SSL/TLS ユーザーにとって直ちに脅威となるものではありません。攻撃者は、クライアントとサーバー間のネットワーク トラフィックをキャプチャでき、同じ暗号化されたコンテンツを電子メール内の同じ場所に繰り返し送信できる必要があります。たとえ攻撃者がこの情報を入手したとしても、攻撃者は情報のごく一部しか回復できません。ただし、HTTP メッセージには、会話全体で同じ様式化されたヘッダーがあるため、特にこの脆弱性を悪用するより効率的な方法が出現した場合、Cookie の内容がキャプチャされる可能性があります。攻撃者が Cookie に保存されたデータにアクセスできる場合、ビジネスに大きなリスクをもたらす可能性があります。クッキーは、ユーザーが繰り返しログインしなくても済むように、認証用のユーザー アカウント情報やセッション トークンを保存するためによく使用されます。攻撃者がこれらの Cookie を傍受できる場合、ユーザーになりすましたり、感染した Web サイトやサービス内の機密データにアクセスしたりできるようになります。

SSL/TLS プロトコルはさまざまなアルゴリズムの追加と選択をサポートしていますが、主要な Web ブラウザは最新かつより安全なアルゴリズムをサポートしていません。 TLS 1.2 は AEAD (Authenticated Encryption with Associated Data) 暗号化をサポートしていますが、このバージョンの TLS はまだ広く導入されていません。 iOS の Safari を除いて、主要なブラウザはこれをまったくサポートしていないか、デフォルトで無効になっています。これを行うには、TLS が RC4 を使用する方法を変更できますが、将来的に改良された RC4 攻撃方法から防御できるようにするには、すべてのクライアントとサーバーの TLS 展開を変更する必要があります。

現時点では、管理者は TLS 1.0 または TLS 1.1 を導入できます。どちらも CBC モードの暗号化を使用しており、BEAST 攻撃およ​​び Lucky Thirteen 攻撃に対するパッチが適用されています。皮肉なことに、これらの攻撃により、多くの管理者が CBC モードではなく RC4 モードを使用するように切り替えました。 TLS はインターネット トラフィックを保護するために使用される暗号化プロトコルであるため、その導入はより堅牢で、現在は実行不可能な攻撃に対しても脆弱にならないようにする必要があります。この最新の発見により、業界がより安全なバージョンを開発するようになることを期待します。